中学校园网络建设专项方案.doc

1、数字化校园网络建设方案目录1普教数字化校园建设和应用概述31.1数字化校园概述31.2数字化校园应用现实状况31.3数字化校园发展阶段及趋势42xxx中学网络需求分析52.1XXXXX中学网络现实状况52.3.1需求不间断基础网络平台52.3.2需求易管理网络运维52.3.3需求安全报障62.3.4需求统一身份认证62.3.5需求单点登录、统一信息门户63XXXXX中学数字校园建设设计63.1数字校园整体架构63.2XXXXX中学改造网络拓扑74XXXXX中学数字校园网络处理方案84.1关键网络设计84.1.1关键网建设84.2接入设计124.3学校网络出口设计134.3.1出口智能流控审计1

2、34.4无线网设计144.4.1无线计划144.4.2无线信息统计174.5安全设计184.5.1数字化校园安全设计思想181 普教数字化校园建设和应用概述1.1 数字化校园概述现在，什么是数字化校园尚没有一个明确定义，但相对使用较多一个定义是：以网络为基础，利用优异信息手段和工具，将学校各个方面，从环境（包含网络、设备、教室等）、资源（图书、讲义、课件等）、到活动（包含教、学、管理、服务、办公等）数字化，逐步形成一个数字空间，从而使校园在时间和空间上取得延伸，在现实校园基础上形成一个虚拟校园。数字化校园意在用层次化、整体性见解来实施校园信息化建设，利用校园网把教学资源和管理信息愈加好地组织分

3、类，为教学工作提供基于网络环境信息化教学平台，为管理、科研工作提供基于网络环境信息化管理平台。1.2 数字化校园应用现实状况XXXX在全国做了近2万个中小学项目，同时，进行大量现场调研工作，依据现在学校业务应用使用情况，大致上把业务系统分为三类，教学管理、行政管理及特色应用等。行政管理中业务系统服务端大部分在信息中心，学校作为用户端使用，关键是为了提升行政管理效率，包含OA办公、一卡通、人事管理、财务管理等；教学管理中大部分业务系统各个学校全部会独立建设，关键是为了提升教学管理质量，包含数字广播、备课系统、多媒体录播系统等，实际上，现在行政管理和教学管理业务系统基础上各地全部已经建设了，差异在

4、于，特色应用中业务系统各个学校依据自己情况建设侧关键不一样，如各地现在关注度比较高特色业务系统包含网上阅卷系统、多媒体录播系统、同时课堂等。1.3 数字化校园发展阶段及趋势校园数字化建设不可能一蹴而就，它实现是一个长久努力过程，从全国数字化校园现实状况和发展趋势分析，数字化校园建设经历了四个阶段，包含网络集成、系统集成、应用集成、数据集成共四个阶段。第一阶段网络集成，关键以基础网络建设为主，大部分一般中小学处于网络集成这一阶段，考虑是基础网络怎样建设，如怎么建设有线校园网、无线校园网、校园网安全加固等。第二阶段系统集成，以业务系统建设为主，大部分关键中小学处于这一阶段，考虑业务系统怎样建设，如

5、一卡通系统，是作为刷卡消费，还是门禁控制、电梯控制，课程管理、多媒体录播系统怎么建设，怎样监控这些业务系统运行，业务系统数据安全确保等。第三阶段应用集成，关键是做统一身份认证平台、单点登陆系统等，信息化做比很好关键中小学在计划应用集成，怎样把有线、无线、远程VPN等多种不一样接入方法统一纳入一个平台进行管理，多媒体录播、OA系统、视频监控等一系列业务系统，怎样实现单点登陆，方便师生使用。第四阶段：数据集成，关键实现数据开发标准、数据结构统一，实现各个业务系统间数据实时共享，因为数据集成包含到应用系统大量开发工作，周期长，投入大，现在，普教学校包含应用集成方面比较少。2 xxx中学网络需求分析2

6、.1 XXXXX中学网络现实状况网络部分采取二层架构，学校网络机房交换机全部采取旁挂傻瓜接入交换机，现在网络无可视化网络管理能力。关键机房交换机和办公机房交换机经过光猫收发设备连接。现场勘察了解到，关键设备因为接口受限制，无法进行扩容。学校无线为电信建设，采取室分布署模式，信号覆盖强，但并发用户多时候体验差。且不能进行实名认证，不能满足学校现今网络需求。因为带宽出口有限，网络出口设备没有进行流量控制和审计，校园内老师网络体验差。2.3.1 需求不间断基础网络平台稳固硬件平台是整个学校信息化建设基础，犹其大数建设地基，决定了学校未来信息化建设档次。XXXXX中学属于xx市关键师范小学，必需含有5

7、-前瞻优异性硬件支撑平台需要实现7x24x365连续不间断运行。2.3.2 需求易管理网络运维很多中小学数字化校园网络现实状况是，学校设备多，系统多，问题多，人员少；设备多，包含交换机，防火墙，路由器等；系统多，包含OA系统、邮件、课程管理系统、多媒体录播系统等。通常只有1-2个信息技术老师进行相关管理维护工作，怎样保障学校信息化应用稳定运行呢？实际上，业务支撑平台运维和管理需要处理三个方面问题。 当领导或弟兄单位进行参观时，能可视化展示学校信息化结果。 实时了解信息化建设现实状况，为学校升级改造提供支撑 帮忙快速定位故障，处理日常管理维护问题。IT信息系统发挥价值很大程度上取决到日常运维。但

8、IT系统是包含硬件、业务系统、数据库、中间件、机房等众多原因，众多品牌信息系统，极为复杂。同时试验学校管理老师人员较少，配套采取服务外包模式，然而外包人员服务水平参差不齐，服务质量难以保障，面向未来，学校在信息化运维方面将面临较大压力。所以，学校需要建设良好网络系统综合管理平台，实现IT运维信息化，使IT系统稳定、可靠、安全运行，运维工作步入一个有序、规范层次，使IT系统愈加好为业务系统提供服务，从而提升整体运行效率，提升运行服务水平和档次。2.3.3 需求安全报障怎样满足公安、上级部门安全检验要求？学校门户网站、资源系统被挂马或被篡改？接入不可控，安全隐患怎么处理？安全不是孤立，怎样形成整体

9、安全体系？业务支撑平台安全部分关键是打造“全方位立体安全保障体系”，为学校信息化保驾护航！2.3.4 需求统一身份认证有线、无线、VPN等网络设备接入用户分散，公共认证平台关键提供统一身份认证平台。2.3.5 需求单点登录、统一信息门户伴随学校信息化建设不停完善，学校将会拥有多种多样应用系统，各类业务还会不停建设和计划。用户必需记住多个用户用户名和密码，和不一样业务系统 URL 链接，造成了很多不便。所以，提议学校建立统一门户平台，同时提供了一站式单点登录功效，即经过用户一次性判别登录，可取得需访问系统和应用软件授权，实现“一次登录、随地访问/全网漫游”；从而提升用户工作效率，提升用户满意度。

10、3 XXXXX中学数字校园建设设计3.1 数字校园整体架构结合XXXX校园网建设经验和教育信息化教授分析，经过大量调研，提出数字化校园3+N+1整体架构，3表示3个平台，基础设施平台、应用支撑平台、公共认证平台，1指是经过单点登录实现1个统一门户，N指是关键中小学N个业务系统。以下图：数字化校园建设关键是教育信息化业务系统建设，业务系统向下由三个平台进行支撑保障，向上形成单点登录、统一门户，为学生、老师、领导、家长、公众等提供服务。基础设施平台，包含软件、硬件、PC、服务器、有线、无线等基础设施平台建设。应用支撑平台包含数字化校园整体安全考虑、整个信息化业务运维管理等。公共平台关键包含统一身份

11、认证平台、权限管理系统等平台建设。统一门户是整个数字校园访问入口点，给用户提供个性化使用界面，用户进入门户后，除了能够看到公共信息外，只能看到和其身份相关各项服务，成为用户个性化网络门户。N个业务应用系统，是指用于学校教学、科研、管理、服务多种应用系统，用于处理各类用户对信息管理和信息服务需求，是信息化建设关键内容。数字化校园愈加好支撑学校信息化应用，还需要做好“数据信息标准”及“运行管理保障体系”两个方面，运行保障包含组织机构、人员培训、管理规范等，信息标准包含技术标准（应用开发）、数据结构标准、信息化评定体系等。3.2 XXXXX中学改造网络拓扑数字化校园整体架构中，XXXX包含到基础网络

12、平台、公共认证平台、运维支撑平台及单点登陆统一信息门户建设，具体以下：一、基础网络平台包含有线、无线、关键平台、网络出口等基础网络建设。二、公共认证平台由两个关键组件支撑，SMP身份认证软件，无线控制器自带Portal认证页面。经过有线、无线等多种不一样方法统一实名接入，实现网络层实名认证、实名访问权限控制、实名流控和审计等。考虑到实际应用和学校本身网络现实状况，此次数字话校园网络建设关键表现在主干网和计算机教室建设。4 XXXXX中学数字校园网络处理方案4.1 关键网络设计4.1.1 关键网建设关键交换平区布署两台基于十万兆平台设计关键交换机，考虑到预算问题，此次只布署一台关键，并配置有双引

13、擎和双电源模块，放置单点故障。设备本身支持业界优异虚拟化技术VSU虚拟化技术，以后网络规模扩大时候能够实现双机虚拟化热备，提升网络高可用和高稳定性。而且设备本身支持扩展槽，支持校区扩建和网络扩容。虚拟化采取VSU虚拟云交换技术，将两台物理关键交换机虚拟为一台逻辑上统一设备，使其能够实现统一运行，从而达成减小网络规模，同时极大提升网络稳定健壮性，控制故障恢复时间。VSU虚拟云交换特征使用VSU后，两台关键设备逻辑上变成一台。从而简化了网络拓扑。网络中不再需要生成树、VRRP等复杂协议，大大降低配置维护工作量。接入交换机上联等同于双链路连接到一台关键上，实现跨设备链路聚合。即使一台关键或上联链路中

14、止，也可实现快速切换。切换时间控制在50ms以内，相当于一般数据包转发时延这，不会对业务流畅运行产生任何影响。硬件无单点故障XXXX关键骨干交换机RG-S8600系列均在设备本身关键部件上进行了无故障设计。关键表现在：l 双管理引擎冗余热备l 双路电源，负载均衡供电l 6风扇冗余设计，互为备份l 零故障无源背板设计操作系统模块化通用操作系统 RGOS自开发至今，已成为XXXX全线交换路由产品统一系统平台。 RGOS模块化操作系统设计原理图n 这是一个模块化软件平台（对软件系统进行划分以后，将不一样系统任务分割成部分极少交互可管理子集）n 系统内核经过POSIX连接各功效模块。各功效模块独立，故

15、障隔离，提升新功效开发测试效率和系统稳定性。n RGOS系统内核经过POSIX接口连接硬件抽象层，扩展支持多个网络产品，如交换机、路由器、出口设备等。经过RGOS开放性设计，能够整合多个产品资源，加速产品和技术发展。利用多个网络产品组网形成基于RGOS智能、融合IP网络。引擎切换无中止RG-S7800系列交换机支持UISS无中止引擎切换技术，确保主从管理板切换在1秒间实现，同时在切换过程中，各主机线卡能够继续转发原有数据流，不影响网络业务正常透明运行，实现管理板平滑切换，极大地确保了关键可靠性和网络可用性。 具体切换过程及实现1、切换前状态信息同时2、主引擎出现故障时，数据不间断转发3、备份引

16、擎开启，故障引擎重开启，备份引擎下发FIB表更新，待故障引擎重启完成后，新主引擎将状态信息同时到重启后引擎，此时完成切换。UISS热备份设计能够确保RG-S7800系列交换机主从管理板切换在1秒间实现，同时在切换过程中，各主机线卡能够继续转发原有数据流，不影响网络业务正常透明运行，实现管理板平滑切换，极大地确保了XXXX设备可靠性和网络可用性。硬件自动保护现在众多网络病毒全部是经过对网络设备CPU上进行特定协议攻击，利用伪造数据包瞄准具体协议，向网络设备发动攻击。方案中交换机经过硬件方法对发往控制平面数据进行分类，把不一样协议数据归类到不一样队列然后对不一样队列进行限速，专门对路由引擎进行保护

17、，阻挡外界 DOS 攻击。而且并不影响转发速度，所以CPP能够在不影响性能前提下，灵活且有力预防攻击，而且确保了即使有大规模攻击数据发往CPU时候仍然能够在交换机内部对数据进行区分对外。CPP提供三种保护方法，来保护CPU利用率。第一，能够配置CPU接收数据流总带宽，从全局上保护CPU。第二，能够设备QOS队列，为每种队列设置带宽。第三，为每种类型报文设置最大速率。安全防御本方案全线交换机包含接入、汇聚、关键均可自动检测常见攻击行为，并自动下发相关策略，阻断网络攻击，恢复网络正常。第一可有效保护网络稳定性，阻绝各类攻击，第二无需管理员手工参于，提升管理效率，降低管理运维难度。基于设备本身安全技

18、术必需基于CPU和端口为关键出发点。现在业界已开发了部分用于防攻击功效模块(比如：ACL、QOS、URPF、SysGuard 、CPP等等)，经过这些功效模块自行建立攻击检测和保护机制，并提供对外管理接口。为了在这个日益重视安全性环境中应对日益复杂攻击，XXXX开发出基础网络保护策略(Network Foundation Protection Policy)，简称NFPP。NFPP技术能够对设备本身实施保护，经过对报文流进行限制、隔离，以确保设备及网络可靠、安全、有效地运行。NFPP经过接收报文端口或对送往CPU报文进行攻击检测，采取对应保护方法，从而达成对管理面、数据面和控制面保护作用。4.

19、2 接入设计接入关键是负责本校区内信息点互联起来，为各个信息点提供layer2层接入功效。尤其是学校网络教学机房和教室有线信息点。使用千兆接入全网管交换机，实现千兆用户到桌面。接入关键完成以下功效： 结合web portal认证系统，布署802.1.X协议，实现“入网身份认证，也可升级实现主机健康检验、网络安全事件监控和主动防御”。 经过VLAN定义实现业务划分。 实现QoS，对数据包进行分类和标识。 接入网作为用户终端接入校园网唯一接口，在为用户终端提供高速、方便网络接入服务同时，需要对用户终端进行入网认证、访问行为规范控制，从而拒绝非法用户使用网络，确保正当用户合理使用网络资源，并有效预防

20、和控制病毒传输和网络攻击。 目前数据网安全正遭受严峻挑战，病毒、外部入侵（黑客）、拒绝服务攻击、内部误用和滥用，和多种灾难事故发生，时刻威胁着网络业务运转和信息安全。但和此同时，大多数正在使用网络安全系统全部缺乏真正全局防护能力。当网络受到来自各方面攻击时，整个网络系统稳定性将无从谈起，能够看出，计算机网络安全防护能力是影响网络系统稳定可靠性关键原因之一，网络设备作为网络系统基础平台，其安全防护能力显得尤为关键，尤其是接入层交换机。4.3 学校网络出口设计4.3.1 出口智能流控审计XXXXRG-EG系列网关产品是适适用于多个行业业务加速类网关产品。设备配以高性能 MIPS 多核硬件体系架构，

21、拥有业务加速通道、正确流控、上网行为管理、可视化 VPN 、智能选路、防火墙、高性能NAT、Web 认证等多个功效。凭借着丰富功效，RG-EG 系列能够极有效优化用户网络，规范上网行为，全方位加速关键业务开展，提升业务系统使用体验。 RG-EG 系列设备产品特征和价值：业务加速通道成倍提升关键业务访问速度，提升业务系统使用体验RG-EG系列网关支持业务加速通道功效，能够经过传输数据压缩、传输数据去重、低质线路优化、TCP协议栈优化、多线路捆绑等多个互联网加速技术，有效处理远程访问总部业务系统慢问题，达成成倍提升业务系统访问速度效果，使得业务系统能够真正开展起来。正确流控保障关键业务带宽，业务开

22、展通顺流畅RG-EG系列网关，能够实现对网络带宽资源全方面管控，让带宽空闲时随意使用、带宽担心时按需分配，保障关键业务顺畅开展。RG-EG系列网关能正确识别P2P应用、流媒体、企业办公系统等30大类、1500多个应用特征，可实现愈加精细合理进行带宽管理。 上网行为管理规范上网行为，提升工作效率RG-EG系列网关对内网用户上网行为进行精细化管理。屏蔽多种和工作无关网站，营造良好工作气氛，提升工作效率；可对聊天工具、邮件、论坛、微博、搜索引擎等提供安全审计功效，保护内网信息安全。可视化VPNVPN隧道内流量可视可控，业务保障无死角RG-EG系列网关将VPN 配置简化到了极致，只需简单鼠标操作即可完

23、成配置，无需专业人员维护。还能够对VPN 隧道内流量进行查看和控制，建立起可视化VPN 网络，为经过 VPN 开展关键业务提供保障。智能选路优选数据传输路径，合理利用多条带宽资源当网络拥有多条出口线路时，选路计划不合理会造成上网慢、带宽资源浪费等问题。RG-EG系列网关提供一整套完善智能选路体系来处理这些难题。设备会自动分析多条线路情况，选择最优线路，避免出现跨运行商访问、链路使用率低等问题，提升上网速度。4.4 无线网设计4.4.1 无线计划全校采取802.11n技术因为采取了多个无线技术，极大地提升了无线接入带宽和覆盖范围。同环境下比802.11a、b/g模式覆盖范围提升了20%。智能无线

24、技术计划：此次使用了业内最领先第二代智能转发架构，使用智能流分类前置设计，该架构充足利用当地转发和集中式转发优势，实现802.11n环境下高速低延时、高安全转发：当地转发类流：时延敏感类数据，快速转发，延迟最低，更适合语音、视频直播等校园网应用；集中转发类流：安全敏感类数据，集中加解密处理，适合学校OA、选课、一卡通等校园网应用；网络不中止设计：无线网络中AC控制AP，一旦AC出现故障AP，或链路出现问题，AP无法连接到AC就无法工作，AC成为了整个无线网络中单点故障。“AP智能转换技术”根本处理了这个忧虑，将无线网络可用性提升到一个新高度。“AP智能转换技术”工作模式以下： 当AC故障时，A

25、P自动切换到“胖”AP工作模式下，其配置信息为先前AC下发信息； AP根据，先前配置策略信息继续工作，对用户业务不影响； 工作在此状态下AP，继续探测AC状态，当AC恢复正常，AP和AC恢复建立正常连接； AP恢复到原有智能瘦AP工作模式下。智能探测：AP定时、自动探测AC可用状态，立即反馈网络情况；智能转换：AP自动依据AC状态，进行“胖”、“瘦”AP工作模式转换；有线无线统一管理无线校园网大规模布署，需要无线AP数量极大，众多无线AP分布在校园各个角落，怎样管理、监控这些无线设备，立即发觉问题，定位故障。有效无线管理方法，是建好无线校园必不可少条件。无线管理系统实现了： 无线、有线连接拓扑

26、统一； 无线、有线设备状态统一； 无线、有线报警信息统一； 无线、有线审计信息统一；经过集中式统一有线、无线网管系统，能够实现网络中有线网络和无线网络统一便捷配置，实现有线无线一体化高效管理。无线管理系统统一拓扑展示了用户网络中有线、无线设备链接方法和设备工作状态。有线、无线设备统一拓扑显示管理人员能够直观查看到，用户接入无线状态、无线信号覆盖情况等。包含信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等，并能查看用户漫游情况，能够随时了解最终接入用户情况，并对其接入行为进行审计。有线无线一体化网管系统，能够极大地减轻无线管理复杂程度，做到无线问题立即定位、立即处

27、理。有线无线统一认证无线网络是有线网络补充和延续，无线一定要和有线系统一样进行认证： 统一账户管理：有线、无线采取RG-ESS 一套数据库 统一认证方法：有线、无线均可使用802.1x、Web 统一用户端：师生使用一套用户端系统，登录有线、无线两个网络有线、无线统一认证数据库，避免了用户有线一套账号，无线另一套账号，不能统一认证管理问题。用户采取统一身份，灵活登录有线、无线两个网络。用户能够在上选择用无线网卡，灵活选择用802.1x方法、Web方法进行无线认证，认证方法灵活选择，延续了用户使用习惯，极大地降低了维护成本；有线、无线管理策略也要统一，比如：不能有线网络在晚上11点钟断网，而无线网

28、络依旧能够使用。无线扩展无线网络和有线网络一样是教育信息化建设基础，为师生提供了更灵活、更便捷接入方法，伴随无线网络建设和发展，无线正在融入到学校信息化、多业务各个方面，为师生提供出色无线校园生活体验。无线网络建设需要满足未来学校多个信息化应用，下一代无线校园网处理方案，深刻了解校园信息化业务发展，其处理方案以其优异性、前瞻性为学校教育信息化建设未来提供了坚实发展平台。下一代无线校园网采取了802.11n高带宽技术，为学校教学、科研、管理、服务等各项应用提供了基础无线平台：无线多媒体教室、无线科研数据传输、无线IPv6应用、无线一卡通、无线视频监控、无线访问视频课程、无线语音、无线网络运行商租

29、赁。无线课堂最多应用为电子书包：电子书包通常指利用信息化设备进行教学便携式终端。大家通常把它定义为一个以学生为主体、个人电子移动终端和网络学习资源为载体，贯穿于预习、上课、作业、教导、评测等学习各个步骤。此次无线也给后续电子书包建设提供思绪。4.4.2 无线信息统计此次对学校楼宇进行了实地勘探，关键分为三个区域进行无线布署，分别是教学楼（包含逸夫楼），办公楼和室外。办公楼关键AP布放点位为会议室和办公区域，逸夫楼AP放置也集中在教室走廊，办公机房处。具体AP点位统计表以下：楼宇楼层AP数量（包含微AP）POE供电交换机尚德楼17127374751时雨楼191293949星耀楼172273747

30、星耀楼图书馆1112131试验楼1412434总计10864.5 安全设计4.5.1 数字化校园安全设计思想数字化校园安全设计需要考虑用户身份安全、主机安全、网络安全、安全策略管理等四个关键方面。用户身份安全，指用户以实名接入网络，只有经过实名认证用户才能使用网络；主机安全指只有终端主机本身是健康，如安装了杀毒软件，安装了最新补丁，才许可接入校园网络；网络安全指在网络中数据要正当，不能有攻击或异常，同时，师生在校园网中网络访问行为要安全，如学生限制访问成人网站或互联网娱乐类视频等；用户访问安全，是指你在网络中访问可追溯，出现攻击可定位到人。总而言之，以用户为关键安全设计理念是保障“让正确人，使用健康主机，访问安全网络，做规范事情。”